Описание вредоносного ПО

Кража под музыку

Приложение «Музыка ВКонтакте» ворует аккаунты пользователей

Согласно известной китайской поговорке, «Путь в тысячу ли начинается с одного шага». Наш путь к выявлению масштабного хищения личных данных пользователей социальной сети «ВКонтакте» начался с письма пользователя, приславшего нам для изучения подозрительное приложение.

На первый взгляд, исследуемое приложение «Музыка ВКонтакте» содержало лишь заявленную легитимную функцию – проигрывание аудиозаписей, выложенных в социальной сети. Но дальнейшее исследование показало, что оно содержит также вредоносный код, предназначенный для кражи аккаунта пользователя в социальной сети «ВКонтакте» и продвижения в этой сети определенных групп.

Приложение «Музыка ВКонтакте» могло похитить аккаунты сотен тысяч пользователей социальной сети

Tweet

Скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. По нашим оценкам, с помощью этого приложения злоумышленники могли похитить аккаунты сотен тысяч пользователей социальной сети.

Принцип работы вредоносной программы

Сразу после запуска, «Музыка ВКонтакте» просит ввести свой логин и пароль к аккаунту «ВКонтакте», чтобы приложение могло работать в социальной сети.

Вредная музыка

После того как пользователь вводит свои логин и пароль, приложение отправляет их на легитимный сервер аутентификации oauth.vk.com. Если аутентификация прошла успешно, пользователь действительно может слушать музыку, выложенную в социальной сети. А троянец тем временем отправляет проверенные логин и пароль на сервер злоумышленников — обычным текстом.

Вредная музыка

Отметим, что такой способ передачи логина и пароля может привести к их повторной краже другими злоумышленниками, так как не используется безопасный протокол HTTPS.

После этого троянец обращается к своему серверу за списком групп, продвижением которых занимаются злоумышленники. В эти группы он тут же добавляет похищенный аккаунт пользователя.

Помимо продвижения групп, злоумышленники могут менять пароль и использовать украденные аккаунты по своему усмотрению: нам известны случаи, когда у жертвы троянца через некоторое время пропадал доступ к аккаунту «ВКонтакте».

Массовое заражение

Как уже было сказано выше, скачать приложение «Музыка ВКонтакте» можно было в официальном магазине приложений Google Play. Подобные приложения пользуются большой популярностью у пользователей Android.

myvk_ru_3

Первая из известных нам версий вредоносного приложения «Музыка ВКонтакте» была опубликована в Google Play 16 августа 2015 года, далее версии меняли, как правило, раз в 6-10 дней. Все версии различались только именем пакета, функциональность приложения оставалась неизменной.

Самая последняя из известных нам версий была опубликована 4 октября. Это была как минимум седьмая версия вредоносного приложения, предыдущие шесть ранее были удалены Google. В то же время, судя по данным из кода троянца, это была уже 15-я версия приложения. Мы не можем утверждать, что все эти версии были размещены в Google Play, мы видели только семь из них.

Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию этого троянца взамен заблокированной.

Опубликованная 4 октября версия приложения уже на следующий день имела средний балл 4.5 при более чем 600 оценках пользователей.

myvk_ru_4

По информации с Google Play, всего за два дня последнюю версию приложения скачали от 100 000 до 500 000 пользователей. По нашим данным, популярность одной из более старых версий была в 10 раз выше – это может означать, что только этой версией могли быть заражены устройства сотен тысяч пользователей.

Последствия

Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» останется незамеченным, пока злоумышленники не решат воспользоваться этими данными и не сменят логин/пароль или не начнут рассылать спам с украденного аккаунта.

Мы призываем пользователей быть бдительными и не вводить логин и пароль в сторонних приложениях. Если у вас было установлено приложение «Музыка ВКонтакте» или подобное приложение для прослушивания музыки в социальной сети «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль к аккаунту в этой сети.

Мы сообщили Google о последней выложенной версии вредоносного приложения, и она была удалена. Группы, продвигаемые с помощью троянца, были заблокированы администрацией социальной сети, которую мы также проинформировали о вредоносном приложении.

Все версии вредоносного приложения детектируются продуктами «Лаборатории Касперского» как Trojan-PSW.AndroidOS.MyVk.a.

Выражаем благодарность Александру Денькову за помощь в обнаружении этого зловреда.

Кража под музыку

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Сергей

    А какие есть общие признаки у всех вредоносных приложений? Как их может выявить среди нормальных приложений обычный пользователь?

    1. Roman Unuchek

      К сожалению не существует общего признака для всех вредоносных приложений. В данном случае пользователям не стоило устанавливать сторонее приложение, так как есть официальное приложение от Вконтакте.

  2. Дмитрий

    Никогда не доверял подобным приложениям и всяким «загрузчикам» из контакта и очередной раз вижу, что не зря.

  3. Egor Sm.

    А компанию Agava, которая хостит данный сайт предупредили?

  4. Corvair

    Никогда не ставлю сторонние приложения-«дополнения» к соцсетям и никому не рекомендую этого делать — не первый прецедент вредоносного дополнения. На мобильных устройствах только официальный клиент с нормального места, безопасность сторонних программ и «скачанных бесплатно» с непонятных сайтов никто не гарантирует.
    Кстати, словосочетание типа «скачать бесплатно», автоматически предлагаемое поисковиками при вводе запроса, касающегося какого-либо ПО, также с большой вероятностью приведет к «заразному» сайту

  5. Алексей Моторин

    Слону понятно, что будет если вводишь свои данные. Просто нужно создать левый аккаунт специально для приложения и наслаждаться обилием медиа контента в ВК. 😉

  6. Dan

    Добрый день! Я полгода назад скачал melody player из эпстор на 4 айфон. Месяц назад программа гачала требовать логин и пароль от вконтакте чтобы скачивать из вк новую музыку. Сегодня ввел, потом требовала телефон для подтверждения, тоже ввел. Скажите эта программа безопасна для меня и стоит ли мне менять пароль от страницы вконтакте? Ответьте на почту пожалуйста тоже. Спасибо

    1. EK

      Если возник такой вопрос, менять или нет, то точно стоит сменить.

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике